当我们置身于网络世界之中时,一切的行为都将会被记录下来,互联网企业还会通过用数据描绘的“用户画像”让用户具象化、真实化。事实上,在数据面前,我们每个人都只是在穿着皇帝的新衣。
那么,如何面对这些让人细思极恐的数据世界?欧盟制定了《通用数据保护条例》(General Data Protection Regulation,GDPR)。
欧盟议会于 2016 年 4 月通过了 GDPR,规范欧盟成员国以及任何与欧盟各国进行交易或持有公民(欧洲经济区公民)数据的公司存储和管理个人数据的方式。这项法规在 2018 年 5 月 25 日生效。
然而在 GDPR 生效之后,一些新闻报道称:为遵守刚生效的 GDPR,美国网站屏蔽了5亿欧洲居民。
Bloombergquint 网站的报道更是使用了 Blocking 500 Million Users Easier Than Complying With GDPR(屏蔽 5 亿用户比遵守 GDPR 更容易)这样的标题。
GDPR 于 5 月 25 日生效后,众多美国网站纷纷拒绝了来自欧洲的访客。值得注意的是,欧洲有 5 亿居民,是美国人口的 1.5 倍。
拒绝或暂时拒绝欧洲访客的知名网站包括 Los Angeles Times、Chicago Tribune、New York Daily News 和Instapaper。
USA TODAY 则选择为欧洲访客专门制作一个 GDPR 版本的网站,删除了所有跟踪脚本和广告,结果美国版本的网站大小有 5.2MB,而 GDPR 版本的只有 500KB,页面加载速度也从 45 s 减少到 3 s,JS 脚本数量从 124 个减少到 0 个,请求的网址数量也从 500 多个减少到 34 个,简直就像是最初启用了 Adblocker的效果。
通过这样的事件,我们大约可以知道一个网站到底采集了多少用户数据。
那么 GDPR 到底是什么?为什么实施起来困难重重,让美国企业选择了简单粗暴的拒绝访问。
GDPR 的本质是赋予欧盟公民个人信息保护的基本权利,其核心是使个人数据的收集、存储及使用有更高的透明度,并对其加强管控。在这个条例的约束下,只要是收集欧盟公民数据的企业就要受到 GDPR 的管辖。
GDPR 主要完成了以下几大使命:
1、明确公民的数据权利和隐私权。
2、明确并扩大了数据保护范围。
3、规范数据收集企业的数据保护及使用权责。
这其中的数据安全事故通知条款规定,在数据安全事故(比如数据泄露)发生之后,应当在 72 小时内向监督机构报告。
GDPR 提高了处罚标准,对于重大违规事件的罚款可高达 2000 万欧元或前一财年全球收入的 4%。
GDPR 进一步扩大了数据保护范围,以下种种信息都在保护范围内:
●公民基本的身份信息,如姓名、地址和身份证号等。
●网络数据,如位置、IP 地址、Cookie 数据和 RFID 标签等。
●医疗保健和遗传数据。
●生物识别数据,如指纹、虹膜等。
●种族或民族数据。
●政治观点。
●性取向。
公民的数据权利被强化保护,条例中有 4 条提到了“用户许可”:
●在用户许可的情况下处理数据,数据控制者应能够证明数据主体同意处理其个人数据。
●如果用户许可是在书面声明中也涉及其他事项的情况下提出的,则同意书应明确指出该许可区分于其他事项。同意书应使用清晰明了的语言,方便用户理解和区分。构成违反本法规的此类声明的任何部分均不具有约束力。
●数据主体有权随时撤回其许可。撤回许可不应影响撤回前基于许可的其他处理的合法性。撤销用户许可应该同授予时一样容易。
●用户许可必须是自由做出的。这意味着数据主体在做出许可时,其选择是真实的,例如,不存在受到胁迫或者欺诈的风险。如果数据主体受到数据控制者的影响(例如,数据控制者是数据主体的雇主,或者是一个公共权威),则考虑到此类关系的性质,许可并不被认为是自由做出的。
这其实是在明确用户许可的获取过程,也是在规范这些用户许可的使用。在互联网上,因为一个“同意”而导致无穷尽的后果应该通过法律法规来避免。
GDPR 对数据泄露的行为会做出高额惩罚,同时对企业的数据管理角色及其责任进行了规范,这其中包括:
●数据控制员(Data Controller):明确个人数据的处理方式和目的,确保外部承包商能够遵守相关规定。
●数据处理员(Data Processor):可以是维护和处理个人数据记录的内部团队人员(如业务分析师),也可以是参与数据处理的任何外部服务提供商的员工。GDPR 要求数据处理员为违规行为负责。
●数据保护员(Data Protection Officer,简称 DPO):核心活动涉及处理或存储大量的欧盟公民数据、特殊类别的个人数据(健康记录、犯罪记录)的组织必须指定 DPO,DPO 主要负责基于 GDPR 提供咨询意见,并向最高管理层报告。
必要的流程管控是提升安全性的重要手段,设置必要的岗位也非常重要。DPO 会逐渐成为数据安全领域的一个重要角色。
除了明确岗位职责,GDPR 还对数据存储安全保护提出了要求:
●明确数据保护方法。
●将安全性体现在与合作伙伴、服务提供商签订的合同上。
●对数据进行加密或假名化。
●制定对风险评估做出回应的安全措施。
●若想保留数据以进行额外处理,就必须采取相应的保护措施。
GDPR 特别将加密作为安全性要求。对于很多企业来说,做好加密工作是非常迫切的。要知道,很多泄密事件都是数据未加密存储导致的。
GDPR 生效以来,已经开始发挥威力,2019 年已针对 Google 做出一则判罚:
英媒称,法国 1 月 21 日首次援引欧盟严格的 GDPR,宣布向 Google 罚款 5000 万欧元。
据路透社报道,法国资料保护办公室 CNIL 称,Google 的隐私条款难以被用户理解,尤其在个人化广告上,用户难以管理个人资料如何被使用,因此被判决。Google 发表声明称,用户期待高度透明的数据运用及对隐私的自我控制,而 Google 也一直承诺确保达到预期,会研究判决再决定下一步行动。
报道称,两个团体去年 5 月代表约 1 万名民众发起诉讼,指出 Google 在 Android 系统的部分应用程序中表示除非用户同意条款否则不提供服务,这属于“强制用户同意”的行为。这是 GDPR 落实以来的首个案例。根据 GDPR 的规定,企业可被判罚 2000 万欧元或前一财年全球收入的 4%,以最高者为准。
其实不仅仅是互联网公司,传统企业同样面临着数据保护、数据加密的挑战。在中国,数据泄露的事件同样层出不穷。尤其是在使用数据库的环境下,数据备份、数据传输都需要置于可信的环境下,避免备份被窃取,数据被篡改。
无论如何,任何企业都需要不断加强数据安全和隐私保护的建设,GDPR 在某种程度上为企业加强了推动力。
